Thema: Vermeintliche Anwaltspost enthält Trojaner

[SiLæncer]

Seit dem gestrigen Abend verschicken Unbekannte per E-Mail Zahlungsforderungen, die den Namen der Anwaltskanzlei Olaf Tank tragen. Das angehängte Archiv enthält statt der vorgeblichen Originalrechnung jedoch lediglich Schadsoftware, die die meisten aktuellen Virenscanner als Trojan-Downloader erkennen. Empfänger der E-Mails mit dem gefäschten Absender anwalt@forderungseinzug.de, deren Betreff in der Form "AZ: 995235/40" ein offizielles Aktenzeichen vortäuschen soll, sollten die Nachrichten ungelesen löschen.

Auf den ersten Blick sehen die Schreiben authentisch aus, da sie sich eng an Originalbriefen der des Anwalts orientieren. Allerdings enthalten sie ein in der Zukunft liegendes Datum sowie Rechenfehler bei der Addition der Forderungssumme. Außerdem fehlt ihnen jeder Hinweis, dass es sich um ein personalisiertes Schreiben handelt, also Name oder Anschrift des vermeintlichen Schuldners. Wer das Aktenzeichen aus dem Betreff mit dem im Text genannten Aktenzeichen vergleicht, wird auch hier auf Ungereimtheiten stoßen.

Tank betreibt derzeit das Inkasso für die Gebrüder Schmidtlein, die für ihre umstrittenen Geschäftspraktiken im Bereich der Abo-Dienste bekannt sind und sich in der Vergangenheit bereits juristischen Ärger eingehandelt haben. Die echten Schreiben, die Tank bislang nur per Briefpost versendet, wurden vielerorts in Verbraucherschutz-Diskussionsforen veröffentlicht.

Wahrscheinlich soll der Name des bekannten Anwalts dafür sorgen, dass verunsicherte Empfänger den Anhang öffenen. Möglicherweise handelt es sich bei der gestrigen E-Mail-Welle aber auch um einen so genannten Joe-Job, um den Ruf von Tank und den Gebrüdern Schmidtlein zu schädigen.

Quelle : www.heise.de

[SiLæncer]

Mails mit vorgeblichen Rechnungen einer bekannten Anwaltskanzlei sollen einmal mehr zur Vermehrung von Botnets beitragen, denn statt einer signierten Word-Datei steckt ein Trojanisches Pferd in den Mails.

Wie schon vor zwei Wochen werden heute Mails mit vorgeblichen Rechnungen des Rechtsanwalts Olaf Tank verschickt. Die Spam-artig verbreiteten Mails kommen mit einem Betreff wie "Forderung AZ: 105485/43", "Aktenzeichen: 418591/41", "Erstattung einer Anzeige", "Forderung AZ: 105485/43" oder "Mahnung AZ: 298544/59" sowie der gefälschten Absenderangabe "anwalt@forderungseinzug.de". Im Text wird die anwaltliche Vertretung der Schmidtlein-Brüder angezeigt und wie schon in den Mails vom 10. April eine Forderung erhoben, die sich auf eine angebliche Nutzung der kostenpflichtigen Website p2p-heute.com bezieht.

Im Unterschied zu echten Schreiben des Anwalts, aus denen der Text vermutlich kopiert wurde, wird mit dem Satz "Das Originalrechnung finden Sie im Anhang als signierte Word Datei" auf einen Mail-Anhang verwiesen, der in einem ZIP-Archiv namens "Rechnung.zip" steckt. Dieses enthält eine EXE-Datei mit doppelter Dateiendung ("Rechnung_Sign[lange Nummer].pdf.exe"), die eher auf eine PDF- als eine Word hinweist, während die Datei jedoch ein Word-Symbol trägt.

Wird die vermeintliche Word-Datei durch Doppelklick geöffnet, startet das Programm seine Download-Routine. Es holt sich zunächst Text-Dateien mit teilweise verschlüsselten Download-URLs und lädt dann die darin genannten Dateien herunter. Mit der Installation dieser Dateien wird der Rechner zu einem Teil eines Botnets, mutiert also zur fremdgesteuerten Spam-Schleuder.

Außerdem legt der Schädling eine Datei "ipv6monl.dll" im System32-Verzeichnis von Windows an und registriert sie als BHO (Browser Helper Object) im Internet Explorer. So können Zugangsdaten, etwa für das Online-Banking, die der Benutzer im IE eingibt, abgefangen werden. Das Gesamtverhalten dieses Malware-Pakets entspricht also dem bei dieser Art Malware Üblichen.

Quelle : www.pcwelt.de

[SiLæncer]

Seit gestern sind zwei neue Wellen von Trojaner-Mails unterwegs, die unter dem gefälschten Absender zweier bekannter Anwaltskanzleien Geld einfordern. Für weitere Informationen solle der Empfänger die vermeintliche Rechnung im Anhang öffnen, der tatsächlich aber nur ein Schadprogramm enthält, das inzwischen fast alle aktuellen Virenscanner erkennen. Allein auf den E-Mail-Servern des Heise-Verlags sind inzwischen mehr als tausend dieser E-Mails eingegangen.

In den E-Mails der ersten Welle, vor denen auch das BSI warnt, wird die Anwaltskanzlei Olaf Tank als vermeintlicher Absender angegeben. Die zweite Welle kommt im Namen der Rechtsanwaltsgesellschaft Thieler daher. Auffällig ist, dass keine der E-Mails persönliche Daten des Empfängers wie Name oder Anschrift enthalten. Außerdem sind die Forderungsbeträge falsch aufsummiert. Bei den im sonstigen Wortlaut identischen vorgeblichen Thieler-Mails stehen statt Beträgen und Aktenzeichen sogar lediglich Platzhalter. Unterzeichnet sind auch sie mit dem Namen "Olaf Tank".

Die Masche ist bekannt. Erst vor rund sechs Wochen schwappte eine E-Mail-Welle nach dem gleichen Strickmuster durchs Netz. Beide in den Schreiben genannten Anwaltskanzleien gibt es wirklich, beide haben zuvor öffentliche Aufmerksamkeit erregt. Olaf Tank hat in der Vergangenheit das Inkasso für die Gebrüder Schmidtlein übernommen, die für ihre umstrittenen Geschäftspraktiken im Bereich der Abo-Dienste bekannt sind. Auch die Kanzlei Thieler ist bekannt. Laut taz geriet sie 2003 wegen des Verdachts auf "systematische Entmietung" ins Visier staatsanwaltschaftlicher Ermittlungen.

Bisher liegen keine Hinweise vor, dass Anwälte ihre Forderungen tatsächlich per E-Mail verschicken.

Quelle : www.heise.de

[SiLæncer]

Wie schon vor einigen Wochen werden zurzeit wieder vorgebliche Rechnungen eines Anwalts der Schmidtlein-Brüder per Mail verschickt, inklusive Malware im Anhang. Anwalt und Mail-Empfänger sitzen diesmal allerdings in der Schweiz.

Wie bereits im April und Mai dieses Jahres werden derzeit wieder Spam-artige Mails verschickt, die eine vorgebliche Anwaltsrechnung enthalten. Die Mails richten sich an Empfänger in der Schweiz und die als vorgeblicher Absender missbrauchte Anwaltskanzlei hat ihren Sitz in Bern. In den Mails heißt es, der Anwalt vertrete die Schmidtlein-Brüder bei der Durchsetzung einer Forderung.

Die Empfänger sollen angeblich die Website "P2P-heute.com" genutzt haben und den Betreibern dafür noch Geld schulden. Wie schon in früheren Mails dieser Art zeichnen sich die vorgeblichen Forderungen durch offensichtliche Rechenfehler aus. Sie verweisen auf den Anhang, der eine "Originalrechnung [...] als signierte PDF Datei" enthalten soll.
Tatsächlich steckt in dem ZIP-Archiv "rechnung.zip" eine EXE-Datei namens
"Rechnung______________1.07.2007__________BITTE UM RUCKMELDUNG_DANKE____________PDF.exe". Dabei handelt es sich um ein Trojanisches Pferd, das weitere Malware aus dem Internet nachlädt. Letztlich landet eine Datei "ntos.exe" (178 KB) im System32-Verzeichnis von Windows. Dabei handelt es sich um ein Trojanisches Pferd, das Bankdaten ausspionieren soll.

Quelle : www.pcwelt.de